Sistem Penghitungan Suara Pemilu Multi Sekuriti untuk disertakan di Pemilihan Peneliti Muda Indonesia 1997 kategori Pengetahuan Teknik dan Rekayasa

Transkripsi

1 Sistem Penghitungan Suara Pemilu Multi Sekuriti untuk disertakan di Pemilihan Peneliti Muda Indonesia 1997 kategori Pengetahuan Teknik dan Rekayasa Wishnu Prasetya Fakultas Ilmu Komputer Universitas Indonesia Fakultas Ilmu Komputer, Universitas Indonesia Kampus UI, Depok Telp Fax

2 Abstrak Karya tulis ini membahas konsep dan rancangan sistem pencacahan suara multi sekuriti untuk Pemilu Indonesia. Rancangan tersebut didasarkan pada teknologi mutakhir sekuriti digital yang memungkinkan pengesahan data yang tidak bisa dibantah dan tidak bisa dipalsu. Teknologi seperti ini secara drastis mengeliminasi berbagai kelemahan sekuriti sistem konvensional, khususnya kelemahan-kelemahan sekuriti yang memungkinkan dilakukannya kecurangan oleh pihak-pihak tak bertanggung jawab. Aspek yang juga penting dari rancangan kami adalah bahwa hasil penghitungan dapat di uji-silang oleh pihak independen tanpa membahayakan integritas data penghitungan. Dengan cara demikian, pihak penyelenggara Pemilu dapat dengan mudah membuktikan kejujurannya apabila dihadapkan pada tuduhan kecurangan. Perhatian juga diberikan pada aspek ekonomis. Sistem dirancang sesederhana mungkin dan menggunakan komponen-komponen yang diproduksi masal di pasar dunia (bukan produk khusus) sehingga murah harganya. Keyakinan kami adalah bahwa sistem ini bisa direalisasi dengan biaya yang relatif murah 2

3 1 Introduksi Pemilu di Indonesia selalu diwarnai dengan keluhan-keluhan tentang pelanggaran dan kecurangan. Puncaknya adalah Pemilu 1997 yang baru lalu. Secara teknis prosedur penghitungan suara Pemilu yang kita pakai memang terlalu terbuka sehingga memberikan kesempatan pada pihak-pihak yang tidak bertanggung jawab untuk melakukan manipulasi yang sulit dilacak. Prosedur penghitungan suara Pemilu juga tidak memiliki mekanisme validasi yang memadai yang memungkinkan Penyelenggara membuktikan kemustahilan sebuah klaim kecurangan. Ini tentunya sangat mencemarkan citra Penyelenggara Pemilu. Ada berbagai tujuan orang melakukan kecurangan: memenangkan suara secara tidak sah, mendiskreditkan pihak tertentu, atau bahkan untuk menggagalkan Pemilu. Membuat prosedur penghitungan suara yang kedap air tidak mudah, apalagi bila kita terpaku pada prosedur yang berbelit-belit banyak individu, mulai dari panitia penghitung di tingkat TPS sampai ke operator komputer di tingkat pusat, dimana setiap individu sebagai manusia merupakan mata rantai yang rentan terhadap kecurangan. Disamping itu, penghitungan suara juga melibatkan banyak dokumen-dokumen kertas yang mudah ditiru. Penggunaan medium elektronis tanpa penggunaan teknologi sekuriti yang baik justru lebih membahayakan karena data elektronis mudah sekali dipalsukan. Membuat sistem yang kedap-curang saja belum cukup. Hasil penghitungan suara harus bisa dipercaya masyarakat tanpa masyarakat diharuskan untuk mempercayai pelaku penghitungan. Prinsip ini disebut prinsip multi sekuriti [Bra93,BBC+94]. Kepercayaan masyarakat dapat dijamin dengan mengijinkan perwakilan manapun dari masyarakat untuk melakukan uji-silang dari hasil penghitungan suara tanpa memungkinkan pihak penguji-silang itu sendiri untuk melakukan kecurangan atau merusak integritas data penghitungan. Di Fakultas Ilmu Komputer Universitas Indonesia penulis pada saat ini sedang aktif melakukan penelitian di bidang sekuriti digital. Dengan memanfaatkan tehnik dan teknologi modern di bidang ini, di dalam karya tulis ini penulis akan memaparkan rancangan sebuah sistem yang memungkinkan penghitungan suara Pemilu yang memiliki aspek-aspek: 3

4 1. Kejujuran: sejauh mungkin meniadakan kemungkinan kecurangan penghitungan, baik yang dilakukan secara mekanis maupun elektronis. Sejauh mungkin, suara yang dihitung betul-betul merupakan suara yang diberikan oleh pemilih yang sah. 2. Multi sekuriti: sistem tidak mengharuskan pihak manapun yang terlibat dalam Pemilu untuk mempercayai pihak yang lain dalam hal penghitungan suara, termasuk dalam hal ini pengelola sistem. Ini adalah asumsi teknis yang amat penting. Pada kenyataannya setiap pihak yang terlibat berkesempatan untuk melakukan kecurangan, baik secara sengaja atau karena disusupi. Tanpa berani mengasumsikan hal terjelek ini, sekuriti sistem tidak dapat dipertanggung jawabkan. 3. Verifikasi Ganda: dalam hal tuduhan kecurangan, pihak Penyelenggara mampu membuktikan kejujurannya. 4. Ekonomis: memperhitungkan kemurahan dari biaya penyelenggaraan Pemilu. Sistematika Penulisan Sistem tersebut diatas akan diuraikan menurut susunan penulisan sebagai berikut: Bab 2 memberikan pengantar singkat tentang sekuriti digital; Bab 4 menerangkan tentang konsep dan arsitektur umum dari Sistem Penghitungan Suara Multi Sekuriti; Bab 4 menampilkan detil dari protokol kriptografis yang digunakan untuk menjamin aspek multi sekuriti dari sistem. Bab 0 memberikan kesimpulan. 4

5 2 Kriptografi dan Sekuriti Digital Kedatangan komputer pada awalnya merupakan ancaman terhadap sekuriti dari data-data sensitif. Sistem sandi tradisional yang dipakai di jaman PD II dapat dengan mudah dibongkar komputer. Baru di tahun 80-an orang berhasil menemukan tehnik penyandian yang dapat menangkis serangan komputer (misalnya DES dan RSA [Pat97]). Pada dasarnya ada dua jenis serangan yang bisa dilakukan dengan komputer, yaitu serangan selektif dan serangan ekhaustif. Serangan selektif diarahkan pada kelemahan spesifik dari sebuah sistem sandi. Sebuah sistem sandi tidak dianggap akseptabel kalau is masih rentan terhadap serangan selektif. Serangan ekshaustif (brute force) dilakukan dengan cara mencoba semua kemungkinan kombinasi kunci. Karena serangan ekshaustif selalu bisa dilakukan, sekuriti sebuah informasi tidak pernah merupakan sekuriti mutlak tetapi didefinisikan relatif terhadap seberapa sulitnya sebuah serangan ekshaustif akan berhasil. Juga harus diperhitungkan serangan ekshaustif yang dilakukan secara stokastis (Montecarlo dan Las-Vegas) [BrBr94]. Sejauh ini, semua tehnik penyandian modern seperti DES dan RSA memiliki kesulitan serangan ekshaustif yang eksponensial terhadap ukuran kunci (dalam jumlah bit) yang digunakan. Ini artinya, dengan kunci berukuran 1024 bit, bahkan dengan 5 komputer sekelas Deep Blue sebuah serangan ekshaustif masih membutuhkan waktu tahun untuk berhasil. Artinya, membongkar sandi itu mungkin, tetapi usaha yang diperlukan untuk itu terlalu astronomis. Bandingkan ini dengan kunci brankas 10 digit. Dengan sistem komputer yang sama kita hanya butuh waktu 10 detik untuk membongkar kuncinya. Angka ini mengilustrasikan betapa baiknya penjagaan kerahasiaan informasi lewat sekuriti digital. Dalam kriptografi atau ilmu sandi, data yang belum tersandi disebut teks asli sementara data yang sudah tersandi disebut teks terenkrip. Proses penyandian disebut enkripsi dan proses pembukaan sandi untuk mendapatkan kembali teks asli disebut dekripsi. Untuk melakukan enkripsi orang memerlukan kunci. Dekripsi teks asli yang dikunci dengan kunci k memerlukan kunci dekripsi yang cocok dengan k. 5

6 Ada dua jenis sistem sandi, yaitu sistem simetris dan sistem asimetris. Dalam sistem simetris proses enkripsi dan dekripsi menggunakan kunci yang sama. Sistem asimetris menggunakan dua kunci, yang satu disebut kunci privat (atau kunci rahasia) yang lain kunci kunci publik. Kunci privat harus dirahasiakan pemiliknya sementara kunci publik boleh disebar luaskan. Dekripsi dari teks terenkrip dengan kunci privat memerlukan kunci publik, dan sebaliknya dekripsi dari teks terenkrip dengan kunci publik memerlukan kunci privat. Sistem ini punya banyak aplikasi. Yang paling sederhana adalah: Pesan rahasia: bila A ingin mengirimkan pesan rahasia untuk B ia bisa mengenkrip pesannya dengan kunci publik B dan mengirimnya ke B. Hanya B yang bisa membaca pesan tersebut karena hanya B yang tahu kunci privatnya sendiri. Sertifikasi: bila A ingin mengirim pesan X ke B dan ingin agar B bisa memverifikasi bahwa pesan tersebut memang betul dari A, maka A mengenkrip X dengan kunci privatnya lalu beserta dengan teks asli X mengirimnya ke B. B mendekrip teks terenkrip menggunakan kunci publik A dan membandingkannya dengan teks asli X. Kalau cocok, berarti pesan tersebut memang dari A. Mengenkrip sebuah pesan X dengan kunci privat (milik A) disebut mensertifikasi X (oleh A), dan hasil enkripsinya disebut sertifikat dari X (yang dikeluarkan A). Contoh sistem sandi yang simetris adalah DES sementara yang asimetris adalah RSA. Kelemahan utama dari sistem simetris adalah bahwa pengirim dan penerima harus tahu kunci yang digunakan, dan kunci ini harus rahasia. Persoalannya distribusi kunci rahasia ke banyak pihak tidak mudah dan rentan terhadap pencurian dan manipulasi. Kelebihannya adalah proses enkripsi dan dekripsi dalam sistem sandi simetris biasanya lebih cepat/murah. Yang sering dilakukan orang adalah mengkombinasi kedua sistem ini dimana sandi asimetris hanya digunakan untuk distribusi kunci simetris sementara komunikasi selanjutnya dilakukan dengan sandi simetris. Contoh sistem sandi kombinasi seperti ini adalah PGP [Zim94]. Persoalan lain lagi dari sistem simetris adalah apabila salah satu pemilik kunci (rahasia) menyalahgunakan kunci itu, dari enkripsinya saja tidak bisa dibuktikan siapa yang melakukan penyelewengan tersebut. Asumsi : Dalam karya tulis ini tidak akan diasumsikan sistem sandi spesifik tertentu, hanya saja sistem sandi tersebut harus asimetris. 6

7 2.1 Notasi Sandi Generik Kunci privat akan ditulis dalam huruf kecil seperti k,a,b sementara kunci publik ditulis dengan huruf besar K,A,B dengan aturan bahwa K adalah pasangan publik dari k, A dari a, dan seterusnya. Kami menggunakan notasi enkripsi/dekripsi generik yang juga digunakan oleh, misalnya, Rahmita [Rah97]. Notasi ini mencakup esensi dari mekanisme enkripsi/dekripsi terlepas dari sistem sandi spesifik yang digunakan (misalnya, ataukah itu DES, RSA, atau PGP). Hasil enkripsi pesan m dengan kunci k ditulis [m] k. Dalam sistem asimetris program yang dipakai dalam enkripsi dan dekripsi sama saja, sehingga [m] k bisa juga berarti hasil dekripsi m dengan kunci k. Dengan notasi sederhana ini, dua sifat elementer dari sistem sandi asimetris dapat dinyatakan dengan elegan: 1. Inversi: enkripsi dengan k(k) diikuti dekripsi dengan K(k) akan mengembalikan teks semula: [[m] k ] K = [[m] K ] k = m 2. Sekuriti: dekripsi dengan kunci yang tidak tepat tidak akan menghasilkan teks semula: [[m] k ] a = m a=k k=a Sistem sandi asimetris banyak yang memiliki operasi dimana [[m] a ] b = [m] a b dan operasi itu memiliki sifat sebuah grup komutatif. Artinya, memiliki elemen identitas, komutatif, asosiatif, dan setiap kunci a memiliki inversa relatif terhadap (yaitu A). 2.2 Protokol Kriptografis Implementasi komunikasi elektronis harus diatur menurut prosedur tertentu (kapan A harus mengirim paket data tertentu ke B dan kapan B mengharapkan paket tersebut). Prosedur komunikasi disebut juga protokol. Protokol yang melibatkan enkripsi/dekripsi disebut protokol kriptografis. Kemampuan menyandi pesan saja masih belum menjamin sistem yang aman. Terutama untuk aplikasi yang rumit, perlu diberikan perhatian khusus pada protokol kriptografis yang digunakan karena justru disini biasanya titik lemah dari sistem. Ambil contoh skema otentikasi sederhana yang diterangkan di awal bab ini. Otentikasi dari A bisa dengan mudah dipalsu oleh C dengan cara mengganti entri kunci publik A di buku alamat yang digunakan B dengan kunci publik 7

8 C. Dengan cara ini C bisa berpura-pura menjadi A. Serangan seperti ini disebut substitusi buku alamat 1. Protokol kriptografis tidak mudah dibuat. Kesalahan yang subtil sulit ditemukan sementara akibatnya bisa fatal. Lihat misalnya [Rah97]. Perlu diingat bahwa dalam sistem elektronis pihak yang berkepentingan belum tentu bertatap muka sehingga kejujuran masing-masing pihak harus bisa ditentukan semata-mata dari data elektronis yang dipertukarkan. Juga medium seperti Internet memberikan peluang pada siapa untuk merekam, memperbanyak, dan merubah sesuka hati setiap bit data yang dikomunikasikan. Kondisi kerja yang ekstrim ini membuat sekuriti digital tidak bisa disamakan dengan sekuriti menurut konsep tradisional. Kami akan menggunakan varian dari Message Sequence Chart (MSC) 92 [RGG96] untuk mendeskripsikan protokol kriptografis. MSC sudah cukup umum digunakan di lingkungan telkom. Gambar 1 memberikan penjelasan singkat mengenai notasi yang digunakan. 2.3 Kontroler Mikro dan Smart Card Kontroler Mikro adalah sebuah chip silikon yang berukuran kecil dan memiliki kemampuan komputasi sendiri. Alat ini misalnya memiliki prosesor sendiri, sistem operasi yang tersimpan di unit ROM (Read Only Memory), unit RAM (Random Access Memory) untuk menyimpan data komputasi, dan unit I/O (Input/Output). Alat ini banyak dipakai dalam peralatan modern, mulai dari kipas angin sampai sistem injeksi kendaraan bermotor. Beberapa kontroler mikro memiliki ukuran yang amat kecil dan tipis sehingga bisa dikemas di dalam sebuah kartu plastik berukuran kartu kredit. Ini yang kemudian populer dengan sebutan smart card. Orang kemudian berusaha mengembangkan teknologi smart card supaya bisa berfungsi sebagai alat bayar pintar yang baru. Untuk itu mereka menggunakan tehnik-tehnik kriptografi untuk mencegah pemalsuan. Dalam karya tulis ini kita akan memanfaatkan teknologi smart card ini untuk keperluan penyimpanan dan sertifikasi hasil pemungutan suara. Gambar 2 memperlihatkan arsitektur umum sebuah pengontrol mikro (smart card) yang dilengkapi dengan komponen-komponen khusus (MAP dan EEPROM) untuk mendukung aplikasi sekuriti digital. MAP digunakan untuk mempercepat operasi enkripsi dan dekripsi. EEPROM adalah unit memori semi permanen yang bisa digunakan untuk menyimpan data-data sensitif yang volatil (bisa berubah) dalam waktu lama. Contohnya adalah hasil penghitungan suara, yang berubah 1 Serangan ini cukup mudah ditangkis: orang harus mensertifikasi daftar alamat yang dimilikinya, dan hanya menerima 8

9 setiap kali pemilih memasukkan suaranya, tetapi data ini harus disimpan berjam-jam, atau bahkan beberapa hari sampai bisa dipindahkan dari smart card ke tempat lain. EEPROM diperlukan karena smart card tidak memiliki sumber listrik sendiri. Yang terpenting dari smart card adalah bahwa alat ini dilengkapi dengan pengamanan fisik yang tidak memungkinkan orang untuk secara paksa mencuri atau merubah data di dalam card tersebut (tamper resistance), kecuali kalau sistem operasi dari kartu itu memang mengijinkan akses (baca atau tulis) terhadap porsi data tertentu. Ini membuat kerahasiaan data yang tersimpan di dalam smart card secara fisik sangat terjamin. kunci publik orang yang dilengkapi sertifikat pihak yang sudah diketahui/dipercaya. 9

10 Komunikasi berlangsung antar aktor, dalam hal ini C dan H. Urut-urutan langkah yang dilakukan masing-masing aktor tergambar dari atas (mulai) ke bawah (akhir). aktor K H Komunikasi: K mengirimkan pesan "K, [K,th] ak, [K,th] bk " ke H (dan diterima oleh H). jalannya waktu K, [K,th] ak, [K,th] bk rec K,y,z [y] AK ==[z] BK ==K, 97 Aksi terima: pesan "K, [K,th] ak, [K,th] bk " disimpan oleh H di variabel K,y,z. komentar Kartu K asli H, [H,th] ah, [H,th] bh rec H,y,z [y] AH ==[z] AH ==H, 97 Kondisi: C hanya bisa terus apabila syarat dalam kotak kondisi terpenuhi, kalau tidak jalannya protokol dibatalkan. identitas H asli H 0 =H P 0 =P Assignment: simpan harga H di variabel H 0 dan harga P di variabel P 0. terminasi Gambar 1: Komponen-komponen MSC. 10

11 EEPROM ROM Change pump RAM CPU Modular Arithmetic Processor (MAP) Random number generator I/ O Gambar 2: Arsitektur Kontroler Mikro / Smart Card 11

12 3 Konsep Arsitektur Sistem Pengitungan Suara Multi Sekuriti Masalah pertama yang harus ditangani adalah bagaimana caranya meneruskan hasil penghitungan suara tingkat distrik ke tingkat yang lebih tinggi, dan akhirnya ke pusat. Karena pengiriman informasi dalam bentuk dokumen fisik terlalu rentan terhadap pencurian dan pemalsuan, informasi sensitif harus dikirim secara elektronis, yang disamping mempercepat proses penghitungan juga kedap terhadap pencurian dan pemalsuan, dengan catatan bahwa semua komunikasi elektronis harus dienkrip dan semua informasi sensitif harus di sertifikasi menggunakan salah satu sistem enkripsi yang sudah diakui kekokohannya. Tehnik enkripsi yang diperlukan untuk menjamin keamanan dan otentisitas komunikasi pointto-point (termasuk terhadap serangan-serangan pintar seperti man-in-the-middle atau replay attack) sudah diketahui dengan baik. Lihat misalnya [WoLa92]. Orang juga bisa memanfaatlkan paket enkripsi siap pakai seperti PGP [Zim94] yang juga merupakan shareware (produk nonkomersial). Penggunaan tehnik enkripsi standard point-to-point melindungi sistem terhadap kejahatan dari pihak luar, tetapi tetap terlalu lemah untuk menjamin multi sekuriti. Walaupun hubungan antara TPS, Stasiun Penghitungan Suara (SPS) 2, dan Pusat Penghitungan Suara (PPS) diamankan menggunakan sandi yang hanya diketahui pihak-pihak yang berkepentingan, ini belum menjamin perlindungan terhadap kecurangan yang dilakukan dari dalam. Misalnya, bagaimana jika Stasiun Penghitungan Suara tidak meneruskan data yang asli ke Pusat Penghitungan? Bagaimana jika Pusat Penghitungan melakukan rekayasa terhadap hasil hitungannya? Secara teknis kecurangan seperti ini mungkin terjadi, dan akibatnya cukup fatal. Lebih buruk lagi, kecurangan tersebut sulit dideteksi dan ditunjukkan. Sebuah sistem yang berani menjamin multi sekuriti harus kebal terhadap kecurangan dari dalam maupun luar. Ini bukan tuntutan yang ringan, tetapi bukannya 2 Stasiun Penghitungan Suara (SPS) adalah tempat dimana suara dihitung secara regional. SPS bisa disusun secara hirarkis, dimana pada akhirnya semua hasil perhitungan berakhir di Pusat Penghitungan Suara (PPS) yang kemudian mempublikasikan hasil resmi penghitungan suara secara nasional. 12

13 tidak mungkin. Contohnya adalah sistem uang elektronis yang diusulkan proyek Conditional Access For Europe (CAFÉ) [BBC+94]. 3.1 Kecurangan di Tingkat Stasiun Antara Jika memang kejujuran 3 Stasiun Penghitungan secara teknis tidak bisa dijamin, maka mereka tidak boleh diberi kewenangan untuk membuat sendiri dokumen (fisik atau elektronis) hasil penghitungan yang kemudian diteruskan ke hirarki yang lebih tinggi. Jadi, prinsipnya Stasiun Penghitungan hanya boleh meneruskan data penghitungan. Mereka tetap boleh memproses data yang diterima untuk melakukan penghitungan regional sendiri, tetapi hasilnya tidak bersifat mengikat. Yang menjadi penentu adalah hasil yang dikeluarkan oleh Pusat Penghitungan, dan ini harus didasarkan pada set data asli yang sedekat mungkin berasal dari pemberi suara. Ini bisa dilakukan dengan cara mengenkrip set data asli menggunakan kunci rahasia yang sudah disertifikasi Pusat Penghitungan sehingga Pusat tahu kalau Stasiun mencoba mengirimkan set data yang dibuat sendiri. Dengan demikian Stasiun Penghitungan berubah peran hanya sebagai Stasiun Pengumpul Data (SPD) dan selajutnya akan desebut demikian. Bagaimana mengantisipasi kecurangan di tingkat Pusat Penghitungan akan dijelaskan nanti. Sekuriti skema yang dijelaskan diatas bertumpu pada titik-titik dimana data elektronis penghitungan suara pertama kali dihasilkan. Ini bisa jadi di tingkat TPS, bisa juga misalnya di tingkat kecamatan. Yang paling baik adalah kalau data yang diamankan secara elektronis sudah bisa dihasilkan di tingkat TPS, karena ini langsung menutup peluang kecurangan selama perjalanan suara dari TPS ke pusat penghitungan di Jakarta dengan asumsi penggunaan protokol kriptografis yang akan dijelaskan di Bab 4.Kalau ini digeser ke tingkat kecamatan, keamanan data suara antara TPS sampai ke kecamatan dan di dalam kecamatan itu sendiri tidak bisa dijamin sistem dan harus bersandar pada kontrol masyarakat sendiri (walau di sisi lain sistem memang jadi lebih murah). Tanpa mengurangi kegenerikan solusi yang diajukan, untuk selanjutnya akan diasumsikan bahwa pengamanan elektronis dilakukan mulai dari tingkat TPS. Sistem hanya memerlukan modifikasi kecil apabila dikehendaki pengamanan elektronis untuk dimulai ditingkat yang lebih atas. 3 Seperti pengertian kecurangan diatas, kejujuran pihak P disini diartikan kejujuran P itu sendiri serta kekedapannya terhadap penyusupan yang ingin melakukan serangan dengan mengatasnamakan P. 13

14 Setiap TPS (T) akan diberi sepasang kunci privat (t) dan kunci publik (T). Data elektronis hasil perhitungan (m) harus disertifikasi oleh T (menjadi [m] t ) dengan cara mengenkripnya dengan kunci rahasia t. Sertifikat berikut data asli kemudian dikirimkan lewat stasiun perantara (atau langsung) ke Pusat Penghitungan. Pusat kemudian menguji sertifikat [m] t dengan mendekripnya menggunakan kunci publik T, dan membandingkannya dengan data asli m. Kalau cocok Pusat tahu bahwa data itu asli berasal dari T. Lihat Gambar 3. Stasiun perantara dan pihak ketiga tidak bisa memalsu [m] t, karena mereka tidak memiliki kunci rahasia t. Tempat dimana data elektronis dari TPS pertama kali dikirimkan secara elektronis ke Stasiun Pengumpul Data (atau langsung ke Pusat) akan disebut Titik Transmisi. T P m, [m] t rec m,n m==[n] T m asli dibuat oleh T Gambar 3: Otentikasi Hasil Penghitungan TPS Supaya skema diatas berjalan, pertama identitas dan kunci publik dari TPS harus diketahui paling tidak oleh Pusat. Data tersebut harus disimpan dalam sebuah buku alamat (elektronis) yang sudah disertifikasi (untuk mencegah serangan Substitusi Buku Alamat). Kunci rahasia TPS tidak boleh diketahui pihak lain selain individu/mesin yang bertanggung jawab dalam menghitung suara di TPS. Kalau kunci tersebut jatuh ke tangan pihak lain, pihak tersebut dapat dengan mudah memalsu hasil penghitungan suara. 3.2 Kecurangan di Tingkat TPS Solusi skema diatas masih belum bisa mencegah kecurangan yang dilakukan pada saat key-in, yaitu saat memasukkan data hasil perhitungan TPS ke komputer (untuk dienkripsi dan kemudian di kirim ke Pusat). Bisa terjadi, data yang dimasukkan tidak cocok dengan hasil penghitungan yang sebenarnya (terjadi kecurangan waktu melakukan key-in). Karena itu, untuk menjamin kejujuran hasil, key-in harus dihindarkan. Harus digunakan alat yang dapat mencatat 14

15 langsung setiap suara yang diberikan warga. Alat ini harus kedap terhadap: (1) interferensi fisik yang ditujukan untuk mencuri data rahasia yang disimpannya atau merubah cara kerjanya, dan (2) usaha untuk mengelabui alat secara elektronis. Infrastruktur penghitungan suara juga harus sedemikian rupa sehingga data yang berasal dari alat pemungut suara ilegal selalu bisa terdeteksi dan ditolak. Disamping itu, pengoperasian alat tersebut harus sederhana dan biaya pembuatannya terjangkau. Dengan kebutuhan seperti diatas smart card (Sub-bab 2.3) merupakan pilihan yang baik untuk dijadikan basis dari Sistem Penghitungan Suara Multi Sekuriti. Jadi, dalam konsep yang baru pemilihan tidak dilakukan dengan menusuk tanda gambar, tetapi dengan menekan tombol. Sebuah smart card (Kartu Pemungut Suara) akan merekam setiap suara yang diberikan. Pada akhir pemungutan suara, kartu tersebut akan mengotentikasi hasil akhir yang tersimpan di dalam dirinya dan kemudian memblokir penghitungan lebih lanjut. Tidak lagi dibutuhkan kotak suara karena suara sudah tersimpan di dalam kartu. Kartu tersebut kemudian bisa dibawa secara fisik ke titik terdekat yang memiliki PC berikut fasilitas komunikasinya (Titik Transmisi) untuk mengirimkan data perhitungan suara TPS ke Stasiun Pengumpul Data atau langsung ke Pusat Penghitungan. Smart card memang terlindung secara fisik dan dengan protokol kriptografis yang baik ia juga terlindung secara elektronis. Tetapi, perangkat yang digunakan untuk memungut suara juga melibatkan komponen lain, misalnya sumber listrik (karena smart card tidak punya sumber listrik sendiri) dan tombol-tombol yang digunakan pemilih untuk memasukkan pilihannya (tombol OPP). Ini menimbulkan persoalan baru, yaitu karena komponen-komponen di luar smart card ini bisa dirubah untuk melakukan kecurangan. Sebagai contoh, orang bisa menukar kabel penghubung tombol-tombol OPP dengan smart card sehingga tombol manapun yang ditekan kode tombol yang masuk ke kartu selalu kode milik OPP tertentu. Persoalan lain lagi: bagaimana mencegah orang memilih berkali-kali dengan cara menekan tombol berkali-kali? Tidak mudah untuk mengatasi persoalan-persoalan seperti ini. Solusinya akan dibahas nanti di Bab Kecurangan di Tingkat Pusat Pusat Penghitungan Suara (PPS) adalah pihak yang memeggang wewenang untuk mengeluarkan hasil perhitungan suara resmi. Kecurangan terjadi apabila hasil yang diumumkan tidak sesuai dengan hitungan suara yang sebenarnya. Kejujuran PPS tidak bisa dikontrol oleh PPS itu sendiri, tetapi harus oleh pihak lain. Karena itu dalam konsep multi sekuriti tidak mungkin untuk 15

16 mempercayakan hasil perhitungan ke satu pihak saja. Solusinya adalah dengan menggunakan beberapa PPS yang saling mengontrol. Prinsipnya, data hitungan suara yang diterima oleh PPS adalah data yang langsung datang dari setiap TPS. Setiap paket data TPS disertifikasi oleh kunci privat yang hanya diketahui oleh Kartu Pemungut Suara (KPS) milik TPS yang bersangkutan, yang kunci publiknya diketahui dan disertifikasi oleh PPS. Dengan demikian data palsu yang dikirimkan pihak lain selalu bisa dibedakan dari data asli dari TPS. Dengan adanya beberapa PPS, PPS-PPS tersebut bisa saling mencocokkan hasil perhitungan. Kecurangan yang dilakukan di dalam sebuah PPS akan menghasilkan ke tidak-cocokan dengan PPS yang lain. Koreksi dan perhitungan ulang harus dilakukan sampai semua PPS memberikan hasil yang sama untuk set data yang sama. Untuk mencegah kolusi antara sesama PPS, dianjurkan untuk memberikan sebuah PPS kepada masing-masing OPP. Lebih baik lagi apabila seluruh data dari TPS dibuat aksesibel untuk umum sehingga PPS pihak netral pun bisa ikut ambil bagian. Tidak perlu ada kekhawatiran akan manipulasi data milik negara karena tidak ada satu pihak pun, di luar atau di dalam sistem yang bisa merubah data TPS yang sudah disertifikasi tanpa menghancurkan integritasnya sehingga orang tahu kalau data itu ataukah palsu atau tercemar. 3.4 Arsitektur Sistem Berbagai konsep solusi yang diberikan di subbab-subbab terdahulu menghasilkan konsep arsitektur sistem di Gambar 4 16

17 Singkatan KPS : Kartu Pemungutan Suara TPS : Tempat Pemungutan Suara PPS : Pusat Penghitungan Suara SPD : Stasiun Pengumpulan Data Setiap PPS bertugas melakukan perhitungan akhir dari suara. Untuk mencegah kecurangan di tingkat PPS, semua PPS bekerja saling mengontrol. Disamping itu, server OPP juga bertugas untuk turut mensertifikasi KPS sebelum pemungutan suara dilakukan. Server & PPS OPP A Server & PPS OPP B PPS pengamat independen Internet Server & PPS penyelenggara Pemilu SPD bertugas mengumpulkan data TPS untuk diteruskan ke SPD yang hirarkinya lebih tinggi, atau langsung ke PPS. SPD bisa SPD milik penyelenggara Pemilu, atau milik pihak luar (sukarela). SPD (penyelenggara) SPD (sukarela) KPS: smartcard yang bertugas memungut suara di TPS dan mengotentikasi hasil akhir pemungutan. KPS bisa dibuat/diedarkan kapan saja, tetapi penggunaannya memer-lukan pengesahan elektronis oleh Penyelenggara dan OPP. Hanya data dari KPS yang menyertakan bukti pengesahan ini yang akan diterima oleh PPS. Data hasil pemungutan KPS bisa dibawa secara fisik ke SPD terdekat, atau di kirim langsung secara elektronis. Transmisi data elektronis bisa menggunakan medium apa saja: radio, modem, atau Internet. TPS Transport KPS secara fisik pemilih Pemilih memilih dengan cara menekan tombol OPP. KPS akan memungut suara yang diberikan. Pada akhir dari acara pemungutan, KPS akan mengotentikasi hasil pemungutan dan memblokir fungsi pemungutan suara. Hasil pemungutan bisa dikopi ke medium lain setiap saat. Gambar 4: Konsep arsitektur Sistem Penghitungan Suara Pemilu Multi Sekuriti 17

18 3.5 Menanggulangi Kartu-kartu Asli-Palsu Dalam konsep multi sekuriti harus juga diperhitungkan kecurangan yang dilakukan oleh pihak pembuat/manufaktur smart card. Misalnya dengan cara membocorkan kunci privat kartu (bila kunci rahasia sudah dicetak saat kartu dibuat), atau membuat kartu dengan protokol yang curang. Ini bisa berakibat fatal, misalnya beredar kartu-kartu palsu tetapi yang data keluarannya tidak bisa dibedakan dengan keluaran kartu asli (sehingga bisa dipakai untuk mengganti hasil hitungan yang asli tanpa Pusat bisa membedakannya). Untuk menanggulangi serangan asli-palsu diatas, sistem tidak bisa didasari pada konsep satu kartu untuk satu TPS. Harus ada kartu-kartu lain yang dibuat oleh manufaktur lain yang tugasnya juga turut merekam pemungutan suara. Lebih baik lagi kalau pembuatan kartu-kartu lain tersebut berada dibawah kontrol pihak OPP atau pihak netral. Sama seperti prinsip saling kontrol di tingkat PPS, penggunaan multi smart card di tingkat TPS adalah supaya kartu-kartu tersebut bisa saling mengontrol. Dengan adanya mekanisme kontrol seperti ini resiko hukum dan finansial bagi manufaktur kartu akan terlalu besar sehingga mereka juga enggan melakukan kolusi. Di Bab 4 juga akan dijelaskan bagaimana penggunaan multi kartu dapat digunakan untuk mengatasi problem pemilihan ganda (Subab 3.2) serta penggunaan tak sah dari suara kosong. 3.6 Toleransi Kesalahan Dalam literatur sistem yang tidak sensitif terhadap kesalahan disebut fault tolerant [xxx]. Sistem yang digambarkan dalam karya tulis ini memiliki sifat ini. Apabila terjadi kehilangan data TPS atau data yang sampai di Pusat cacat (palsu atau ada karena usaha untuk merubah data), maka data selalu bisa ditransmisikan ulang dari smart card. Dalam hal kartu hilang atau rusak, konsep multi kartu data hasil pemungutan juga tersimpan di kartu yang lain. Apabila semua kartu hilang atau rusak, atau terjadi penggunaan kartu asli-palsu (Subab 3.5), pemungutan selalu bisa diulang. Kalau perlu, sebagai pengamanan ekstra terhadap kehilangan atau kerusakan kartu (setelah pemungutan suara dilakukan) maka data suara di dalam kartu bisa dikopi ke medium lain (seperti disket) sesuka hati tanpa resiko keamanan apapun. Untuk keperluan transport/transmisi data, tidak diperlukan medium atau metode khusus. Transport data secara fisik tidak memerlukan pengamanan seperti yang diperlukan oleh transport kotak suara. Ini karena ukuran smart card yang jauh lebih kecil dari kotak suara dan kenyataan bahwa datanya bisa di-backup ke beberapa disket yang bisa dikirim secara terpisah untuk mempersulit usaha pencurian. Pencurian juga tidak akan membawa hasil apa-apa karena smart 18

19 card memiliki proteksi terhadap interferensi fisik, sementara data pemungutan yang selalu bisa diakses terenkrip secara elektronis. Transmisi data secara elektronis juga tidak mengharuskan medium berkecepatan tinggi. Ini membuat biaya transport/transmisi data suara menjadi lebih murah. 19

20 4 Protokol Kriptografis yang Digunakan Bab ini menerangkan bagian terpenting dari Sistem Penghitungan Suara Pemilu Multi Sekuriti, yaitu protokol kriptografis yang digunakan dalam berbagai tahapan yang melibatkan smart card yang digunakan untuk memungut suara (Kartu Pemungut Suara (KPS)) serta waktu verifikasi data KPS di Pusat Penghitungan Suara (PPS). Aspek multi sekuriti dari sistem bersandar sepenuhnya pada protokol kriptografis tersebut. Penggunaan tehnik enkripsi digital mengeliminasi kemungkinan pemalsuan data dengan cara konvensional. Karena itu, usaha-usaha untuk melakukan kecurangan sekarang akan difokuskan ke kelemahan dari protokol-protokol kriptografis sistem. Terutama yang paling sulit ditangani adalah: (1) kecurangan yang mengekploitasi komponen-komponen dari Alat Pemungut Suara (APS) yang tidak memiliki pengamanan fisik dan elektronis seperti smart card, dan (2) kecurangan yang dilakukan dengan berkolusi dengan fihak pembuat/manufaktur KPS. Tahapan keterlibatan KPS mulai dari saat pembuatan, distribusi, dan penggunaan bisa dilihat di Gambar 5 (tahapan yang berbingkai tebal adalah tahapan yang membutuhkan protokol kriptografis). Pembuatan KPS (K, H, dan P) Sertifikasi KPS oleh Penyelenggara Pemilu dan OPP Pengedaran KPS Aktivasi KPS saat acara pemungutan dimulai. Pemungutan suara Akhir acara pemungutan : sertifikasi hasil pemungutan, fungsi pemungutan diblokir Kopi atau up-load data pemungutan KPS untuk transmisi ke SPD Gambar 5: Tahapan keterlibatan KPS Di Subbab 3.5 sudah diterangkan bahwa untuk mencegah beredarnya data yang asli-palsu diperlukan lebih dari satu KPS (yang dibuat oleh manufaktur yang berbeda) per TPS yang bekerja saling mengontrol. Data asli-palsu adalah data yang tidak sesuai dengan suara yang diberikan pemilih (palsu) tetapi yang memiliki sertifikasi dari kunci yang seharusnya hanya diketahui oleh KPS. Data asli-palsu seperti ini bisa dibuat kalau manufaktur KPS membocorkan kunci privat KPS, atau membuatkan KPS yang protokolnya memang sudah curang. 20